PCI-DSS 4.0 llegará antes de lo que cree, y es una oportunidad para aumentar la resistencia cibernética de su organización.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Recursos para empezar
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
